Инспектор
Вы можете этот курс.
Опубликован: 12.11.2012 | Уровень: для всех | Доступ: платный
Лекция 15:
Домен "Мониторинг и оценка": процессы, отвечающие за мониторинг и оценку деятельности ИТ
15.2. ME 2. Мониторинг и оценка системы внутреннего контроля
Установление программы эффективного внутреннего контроля в сфере ИТ требует хорошей организации процесса мониторинга. Данный процесс включает в себя собственно мониторинг и отчетность о случаях исключения из практики, результаты самооценок и анализ, проводимый третьей стороной. Основное преимущество мониторинга системы внутреннего контроля заключается в обеспечении эффективной и результативной деятельности в сфере ИТ и совместимости с требованиями законодательства и регулирующих норм.
Мониторинг и оценка системы внутреннего контроля
удовлетворяет следующим бизнес требованиям к ИТ
подтверждение достигнутых целей ИТ и соответствие ИТ законодательству, регулирующим нормам и контрактам.
сосредоточено на
мониторинге процессов внутреннего контроля видов ИТ-деятельности и выявлении действий по совершенствованию.
достигается с помощью
- Определения системы внутреннего контроля, включенной в методологию ИТ- процессов.
- Мониторинга и отчетности об эффективности внутреннего контроля в сфере ИТ.
- Отчетности об исключительных случаях и принятии корректирующих мер.
результаты оцениваются с помощью следующих показателей
- Число крупных нарушений в сфере внутреннего контроля.
- Число инициатив по совершенствованию мер контроля.
- Число и охват самооценок системы контроля.
В таблице 15.7 представлена информация, необходимая для процесса и ее источники.
| Источник | Входящая информация |
|---|---|
| AI 7 | Мониторинг внутреннего контроля |
| ME 1 | Отчеты об эффективности процессов |
В таблице 15.8 приведены результаты процесса и то, куда они должны поступить.
Таблица 15.9 содержит таблицу ОУКИ для процесса, а таблица 15.10 – цели и показатели.
| Действия\Функции | Президент | Финансовый директор | Высшее руководство | Директор по ИТ | Владелец бизнес-процесса | Руководитель эксплуатации системы | Главный архитектор ИТ-системы | Руководитель разработок | Руководитель администрации ИТ | Руководитель проектного офиса | Аудит, риски, безопасность |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Осуществлять мониторинг и надзор за системой внутреннего ИТ – контроля | У | О | О | О | О | ||||||
| Осуществлять мониторинг процесса самооценки | И | У | О | О | О | К | |||||
| Осуществлять мониторинг эффективности независимой отчетности, аудита и проверок | И | И | И | У | О | О | О | К | |||
| Осуществлять мониторинг процесса получения гарантий в отношении системы контроля третьих сторон | И | И | И | У | И | О | О | О | К | ||
| Осуществлять мониторинг процесса определения и оценки исключений из контроля | И | И | И | У | И | О | О | О | К | ||
| Вести отчетность перед основными заинтересованными сторонами | И | И | И | У/О | И |
| Цели | Показатели |
|---|---|
ИТ:
|
|
Процесса:
|
|
Действия:
|
|
Цели контроля
- ME 2.1. Мониторинг методологии внутреннего контроля
Постоянно осуществлять мониторинг, сравнительный анализ и совершенствование среды ИТ-контроля и соответствующей методологии согласно корпоративным целям.
- ME 2.2. Надзор
Осуществлять мониторинг и оценку эффективности и результативности внутреннего управленческого контроля ИТ.
- ME 2.3. Исключения из мер контроля
Выявить случаи исключения из требований контроля, проанализировать их и выявить их первопричины. По этим исключениям подготовить отчетность для заинтересованных сторон. Выработать необходимые корректирующие действия.
- ME 2.4. Контрольные самооценки
Провести оценку полноты и эффективности управленческого контроля над ИТ- процессами, политики и контрактов в рамках постоянной программы самооценки.
- ME 2.5. Аудит системы внутреннего контроля
Получить, в случае необходимости, гарантии полноты и эффективности системы внутреннего контроля, с помощью проверок третьей стороны.
- ME 2.6. Система внутреннего контроля третьих сторон
Оценить уровень системы внутреннего контроля у внешних поставщиков услуг. Следует убедиться в том, что внешние поставщики услуг соответствуют требованиям законодательства и регулирующих норм, а также контрактных обязательств.
- ME 2.7. Корректирующие действия
Определить, инициировать, отслеживать и реализовать на практике корректирующие действия, вытекающие из оценок системы контроля и отчетности.
Допустим, Вы (CIO) спроектировали и внедрили многие процессы управления в своей организации для того, чтобы предоставлять услуги с пользой и оптимальными затратами. Но как узнать, что они (процессы) действительно работают? Для этого и предназначен процесс "Мониторинг и оценка системы внутреннего контроля". Вам необходимо создать систему ролей и назначить людей, которые будут проводить регулярный внутренний аудит и сообщать результаты CIO, CEO и совету директоров.
Внутренние аудиторы проверят, корректно ли выполняются контроли. Например, следуете ли Вы стратегии ИТ при создании процессов? Соблюдает ли персонал процесс Внесения изменений? Участвует ли персонал в процессе Управления инцидентами? Процесс отвечает за то, чтобы найти отклонения. Например, в рамках внутреннего аудита обнаружено, что некоторые инциденты не регистрируются в рамках процесса Управление инцидентами по причине простоты разрешения. Вы должны решить, что с этим делать:
- если разрешать инциденты "на лету" без регистрации нормально, то внести эти изменения в процесс;
- если это не нормально, можно потребовать создать некую автоматизированную систему регистрации всех звонков в сервис-деск.
Александр Медов
|
Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме? : |
Тимур Хананиев
| Азербайджан, Баку, Азербайджанская Государственная Нефтяная академия, 2005 |